勒索病毒全球爆发来势汹汹 专家：及时更新操作系统补丁

灰灰太狼1

勒索病毒全球爆发来势汹汹 专家：及时更新操作系统补丁

一种名为“WannaCry”的勒索病毒近日在全球范围内大规模爆发，我国教育、银行、交通等多个行业也遭受不同程度影响。国家互联网应急中心专家建议，广大用户要及时更新Windows已发布的安全补丁，定期在不同的存储介质上备份数据。


记者14日从国家互联网应急中心获悉，“WannaCry”病毒属于蠕虫式勒索软件，通过利用编号为MS17-010的Windows漏洞（被称为“永恒之蓝”）主动传播感染受害者。截至14日10时30分，国家互联网应急中心已监测到约242.3万个IP地址遭受“永恒之蓝”漏洞攻击；被该勒索软件感染的IP地址数量近3.5万个，其中中国境内IP约1.8万个。


“被该勒索软件入侵后，用户主机系统内的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件都将被加密，加密文件的后缀名被统一修改为 .WNCRY ，并会在桌面弹出勒索对话框，要求受害者支付价值数百美元的比特币到攻击者的比特币钱包，且赎金金额还会随着时间的推移而增加。”国家互联网应急中心博士、工程师韩志辉表示，目前，安全业界暂未能有效破除该勒索软件的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过专杀工具或重装操作系统的方式来清除勒索软件，但用户重要数据文件不能完全恢复。


国家互联网应急中心博士、高级工程师高胜表示，该勒索软件对于企业局域网或内网的主机系统破坏性尤其严重。“由于大量内网主机没有及时更新补丁或使用XP系统，因此一旦有一台主机被感染，将造成网内大规模扩散。”高胜说，我们已接到或看到了多个社会重要信息系统受攻击瘫痪的情况。


据了解，目前，国内多家安全机构与企业正在密切关注与监测该病毒的发展与传播情况。国家互联网应急中心建议广大用户及时更新Windows已发布的安全补丁，在网络边界、内部网络区域、主机资产、数据备份方面关闭445、135、137、139等端口（可以认为是计算机与外界通讯的出口）的外部网络访问权限，加强这些端口的内部网络区域访问审计，及时发现非授权行为或潜在的攻击行为；安装并及时更新杀毒软件；不要轻易打开来源不明的电子邮件；并定期在不同的存储介质上备份信息系统业务和个人数据。 （据新华社北京5月14日电）

灰灰太狼1

敲诈者病毒
敲诈者病毒（也称勒索软件）是近年来增长迅速且危害巨大的网络安全威胁之一，是不法分子通过加密文件、锁屏等方式劫持用户文件等资产或资源，并以此敲诈用户钱财的一种恶意软件。不法分子通过发送邮件等网络钓鱼方式，向受害电脑或服务器植入敲诈病毒来加密硬盘上的文档甚至整个硬盘，随后向受害企业或者个人索要数额不等的赎金（一般要求以比特币方式支付）后才予以解密。

已知最早的敲诈者病毒出现于1989年，名为“艾滋病信息木马”（Trojan/DOS.AidsInfo），最近几年随着用户使用终端方式的改变、比特币等电子货币的发明和匿名通信网络的兴起，敲诈者病毒的传播、劫持和敲诈方式也发生了很大的变化。

如今敲诈者病毒的攻击范围已经涵盖了Windows、Mac、Android、iOS和虚拟桌面。如果已被感染的设备连接了企业的网络共享存储，那么共享存储中的文件也可能会被加密。攻击目标涉及大型企业、政府、银行、教育、私营企业等所有类型的企业和个人。

新一轮敲诈者病毒从2014年底开始蔓延，来自国外安全机构的报告显示，2015 年第三季度被勒索软件攻击的人数已经高达 500 万，是 2014 年同期的两倍；2015年第四季度，全球敲诈者病毒数量较上一季度增加了26%，发现有600万敲诈者病毒尝试安装。进入2016年敲诈者病毒开始大面积爆发，而且由于有利可图，敲诈者病毒攻击已从面向个人的攻击快速转向了医院、政府机构、企事业单位等各行业的IT基础设施，勒索软件会对公司业务造成严重的危害，导致核心数据出现丢失。

2016年1月，三家印度银行和一家印度制药公司的计算机系统感染了敲诈者病毒，每台被感染的电脑索要1BTC赎金。攻击者渗透到计算机网络，然后利用未保护的远程桌面端口感染网络中的其它计算机。因为被感染的计算机很多，被勒索的印度公司面临数百万美元的损失。

2016年2月5日，美国好莱坞长老教会纪念医学中心的电脑系统在遭受为期一星期的敲诈者病毒攻击后，该中心宣布决定支付给黑客40枚比特币(约17000美元)来修复这一问题。随后加拿大渥太华的一家医院和安大略省的一家医院也被敲诈者病毒攻击。

2016年2月，美国南卡罗来纳州霍里县多所学校的电脑和服务器遭遇敲诈者病毒攻击，黑客控制了当地学校系统的网络和服务器，最终不得不支付价值8500美元的20个比特币给匿名黑客，以便让受到勒索影响的电脑、服务器和网络恢复正常。

2016年2月至3月5日，中国香港地区电脑保安事故协调中心共接获41宗有关敲诈者病毒的报告，电脑受感染后文件会遭加密无法打开，黑客敲诈“比特币”以换取解密钥匙，受害者多是中小企及非牟利机构。

2016年2月以来，360威胁情报中心监测到一大波敲诈者病毒大规模爆发，国内单位组织陆续开始受到的冲击，公司对外的邮箱收到大量携带该木马的邮件。包括国家计算机病毒应急处理中心在内的国家机构也都发布了相应的计算机病毒疫情通报。自3月以来国内已有上万台电脑中招，淘宝上甚至已经出现了协助代付款解密的服务。其中国内某央企一周内连续三次中招，所安装的某国外安全软件无法防御，最终导致该企业部分终端用户中招，给该机构造成不可逆的严重损失。

表现形式

1、通过设置电脑开机密码、登录密码等对电脑锁屏，影响用户系统的正常使用：比如WinLocker、PC Cyborg、敲竹杠木马等，会采用锁定系统屏幕等方式，迫使系统用户付款，以换取对系统的正常使用，这种类型的勒索软件相对危害较小。

灰灰太狼1

2、通过威胁恐吓用户，实施敲诈：比如FakeAV敲诈者病毒会伪装成反病毒软件，欺骗在用户的系统中发现病毒，诱骗用户付款购买其“反病毒软件”。而Reveton敲诈者病毒会根据用户所处地域不同而伪装成用户所在地的执法机构，声称用户触犯法律，迫使用户支付赎金。2015年，一位名叫约瑟夫·爱德华兹的17岁中学生因电脑感染了Reveton被敲诈而自杀。

灰灰太狼1

3、加密用户用户文件和数据，要求支付赎金：最典型的是CTB-Locker家族，采用高强度的加密算法，加密用户文档，只有在用户支付赎金后，才提供解密文档的方法。近期流行的CryptoLocker、VirLock、Locky等敲诈者病毒也都是这个类型。由于病毒对文档采用RSA等高强度非对称加密，一旦中招就无法恢复，除非给黑客交赎金购买解密密钥。

灰灰太狼1

4、篡改磁盘MBR，制造计算机蓝屏重启，之后加密电脑整个磁盘敲诈赎金：最近被发现的Petya敲诈者病毒会感染电脑系统，覆盖整个硬盘的MBR，使Windows崩溃并显示蓝屏，而当用户重启计算机时，已修改的MBR会阻止Windows的正常加载，加密整个磁盘，之后显示一个ASCII骷髅图像，提示支付一定数量的比特币，否则将失去文件和计算机的访问权限。Petya感染的电脑有明显的中招症状，而且因为修改MBR，任何具有主动防御功能的安全软件都会报警，所以容易防御。

灰灰太狼1

传播方式

1、网络钓鱼和垃圾邮件：网络罪犯通过伪造邮箱的方式向目标发送邮件，这些邮件中会包含具有威胁的附件或在邮件正文中加入钓鱼网址链接。

2、坑式攻击：网络罪犯会将恶意软件植入到企业或个人经常访问的网站之中，一旦访问了这些网站，恶意程序会利用设备上的漏洞对其进行感染。

3、捆绑传播发布：借助其他恶意软件传播渠道，与其他恶意软件捆绑发布传播；或者捆绑正常的软件进行传播，比如最近发现的首个针对苹果电脑的敲诈者病毒KeRanger就是通过Transmission下载网站捆绑在一些正常的软件传播。

4、借助移动存储传播：借助U盘、移动硬盘、闪存卡等可移动存储介质传播。

灰灰太狼1

防范措施

从最近几年国内流行的敲诈者病毒的传播过程看，360安全卫士、天擎等安全软件对各类敲诈者病毒及其最新变种一直都能够进行防护和查杀，用户需要开启杀毒功能，并及时更新，确保企业免受敲诈者病毒侵害。同时用户需要养成正确的电脑使用习惯和采取相应的安全防护措施，从而远离敲诈者病毒攻击。

企业用户五大防护措施：

1、不要轻易打开陌生人的邮件，特别是主题和附件包含Payment、Invoice字样的邮件；

2、可以逐步部署云桌面，实现集中维护，彻底避免此类攻击；

3、开启安全软件的实时防护功能和云安全查杀功能，并及时升级特征库；

4、开启天擎针对敲诈者病毒开发的文档保护功能，主动阻止恶意加密文档和图片的行为；

5、在天擎终端安全管理系统上开启云QVM引擎能有效增强终端对敲诈者病毒的拦截和查杀。

6、360天擎推出了敲诈先赔服务。对于所有360天擎政企用户，360企业安全承诺，如果用户在开启了360天擎敲诈先赔功能后，仍感染了敲诈者病毒，360企业安全将负责赔付赎金，为政企用户提供百万先赔保障。

个人用户的九项注意：

1、定期备份重要文件，最好能在U盘、本地、云盘都拷贝一份，以防不测；

2、操作系统和IE、Flash等常用软件应及时打好补丁，以免病毒利用漏洞自动入侵电脑；

3、不要随意公开邮箱地址，邮箱密码不要使用弱密码，尽量定期修改；

4、切勿轻易打开陌生人发来的可疑文件及邮件附件；

5、切勿轻易打开来源不可靠的网址；

6、禁止Office宏功能，需要开启宏时，需要确认文件来源是否可信；

7、不要随意将来历不明的U盘、移动硬盘、闪存卡等移动存储设备插入电脑；

8、电脑中应安装并启用专业的安全软件，及时更新并定期进行安全扫描。



9、360安全卫士用户可以开启“360文档保护功能”和“360反勒索服务”可以对文档进行保护，而且同时开启这两个功能后，如果在没有看到安全卫士的任何风险提示的情况下感染敲诈者木马，360可以代替用户向黑客缴纳最高3个比特币(约13000元人民币)的赎金。

灰灰太狼1

成都市委网信办提示：勒索病毒已出现变种，建议周一上班先拔网线再开电脑

2017-05-14 网信成都


勒索病毒最新进展



5月14日，国家网络与信息安全信息通报中心紧急通报：监测发现，在全球范围内爆发的WannaCry 勒索病毒出现了变种：WannaCry 2.0， 与之前版本的不同是，这个变种取消了Kill Switch，不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度可能会更快。



为避免周一上班后刚开机就被病毒感染，导致硬盘所有文件被恶意加密，成都市委网信办建议公众在周一开机前先断网，并按序开展以下病毒防护操作：

➜1.断网。拔下网线！

➜2.咨询本单位网络安全管理员，索取Windows补丁安装光盘。

➜3.开机。

➜4.使用光盘安装windows补丁。

➜5.用其他介质（光盘、U盘等）备份电脑里的重要文件。

➜6.确认445端口关闭。本机cmd窗口执行命令"netstat -ano | findstr "445""，回车后无任何返回。

➜7.确认光盘补丁已经安装完毕后，再联网检查更新打补丁。这几天微软补丁更新服务器访问流量太大，连接速度很慢，请大家多试几次。

灰灰太狼1

什么是“勒索”病毒？
据360安全中心分析，此次校园网勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口(文件共享)，如果系统没有安装今年3月的微软补丁，无需用户任何操作，只要开机上网，“永恒之蓝”就能在电脑里执行任意代码，植入勒索病毒等恶意程序。
目前，“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主，受害机器的磁盘文件会被篡改为相应的后缀，图片、文档、视频、压缩包等各类资料都无法正常打开，只有支付赎金才能解密恢复。这两类勒索病毒，勒索金额分别是5个比特币和300美元，折合人民币分别为5万多元和2000多元。

灰灰太狼1

勒索病毒已经出现新变种

14日，国家网络与信息安全信息通报中心紧急通报：监测发现，在全球范围内爆发的WannaCry勒索病毒出现了变种:WannaCry 2.0， 与之前版本的不同是，这个变种不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度可能会更快。

对于变种病毒的防范方法，专家说，“变种之前和变种之后的防护方法其实大同小异，最重要的是针对用户的电脑打补丁，把漏洞修补。政府和企业用户，不仅仅要解决单台电脑的问题，还要通过网络策略的配置，来解决病毒的快速传播问题。一旦一台电脑中毒，要把病毒控制在一台电脑当中做隔离，这时候就需要通过网络的手段来控制病毒的快速传播。”

高校遭袭 毕业论文沦陷

目前，很多大学的官方微博、微信已发出了预警信息，说这段时间国内很多大学的校园网和同学的电脑都中病毒了。不少同学的毕业论文、毕业设计等重要资料已经宣告“沦陷”。部分高校已发布预警信息，提醒大家不要点开来路不明的链接，装上杀毒软件。

据悉，病毒是全国性的，疑似通过校园网传播，十分迅速。目前贺州学院、桂林电子科技大学、桂林航天工业学院、宁波大学，浙江中医药大学、浙江工商大学、浙江理工大学、大连海事大学、山东大学等众多高校都受到了病毒攻击。

灰灰太狼1

中石油2万座加油站断网

同样受影响的还有中国石油加油站。14日，中国石油在其官网中发布公告称，5月12日22点30分左右，因全球比特币勒索病毒爆发，公司所属部分加油站正常运行受到波及。病毒导致加油站加油卡、银行卡、第三方支付等网络支付功能无法使用。不过，加油及销售等基本业务运行正常，加油卡账户资金安全不受影响。

中国石油14日下午表示，根据现场验证过的技术解决方案，开始逐站实施恢复工作。80%以上加油站已经恢复网络连接，受病毒感染的加油站正在陆续恢复加油卡、银行卡、第三方支付功能。

全球150多个国家遭波及

欧洲刑警组织指出，至欧洲时间14日早上，多达150个国家的20万台电脑遭"想哭"勒索病毒侵害。预料，到15日，人们回返公司上班，这一数字还会进一步增加。

据了解，此轮黑客攻击在12日开始，全球包括欧美和亚洲等地至少150个国家的政府机构、银行、工厂、医院、学府的电脑系统先后遭黑客攻击。俄罗斯和印度的情况最严重，这两个国家“仍广泛使用最容易中招的微软视窗XP系统”。

灰灰太狼1

这场病毒是如何爆发的？

多家网络保安公司认定，该病毒源自美国国家安全局病毒武器库。上个月，美国国安局遭遇泄密事件，其研发的多款黑客攻击工具外泄。

今年4月14日，一个名为“影子中间人”（Shadow Brokers）的黑客组织曾经进入NSA的网络，曝光了该局一批档案文件，同时公开了该局旗下的“方程式组织”使用的部分网络武器。据报道，其中包括可以远程攻破全球约70%Windows系统机器的漏洞利用工具。这些曝光的文件包含了多个Windows“神洞”的利用工具，不需要用户任何操作，只要联网就可以远程攻击，和多年前的冲击波、震荡波、Conficker等蠕虫一样可以瞬间血洗互联网。

谁是病毒的幕后“元凶”？

欧洲刑警组织13日在声明中表示，这波勒索病毒网络攻击在全球各地酿成严重的灾情“前所未有”，他们将展开深入调查找出凶手。

韦恩莱特说，欧洲刑警组织和其他警察机构还不知道谁是幕后元凶，他们的第一个假设是这是刑事案子，目前正朝这个方向调查。

今年3月，“维基揭秘”网站披露了一批据称是来自美国中情局的黑客工具，批评中情局对其黑客武器库已经失控，其中大部分工具“似乎正在前美国政府的黑客与承包商中未被授权地传播”，存在“极大的扩散风险”。

灰灰太狼1

教你如何免遭勒索病毒之害

1、下载NSA武器库免疫工具: http://dl.360safe.com/nsa/nsatool.exe

2、使用防病毒程序，不断更新软件补丁。

3、打开陌生文件前先扫描，关闭不必要的服务和端口，不要点击可疑链接,访问不明网站。

4、对电子邮件、网站和应用保持警惕：在打开不知名的电子邮件或浏览他们不熟悉的网站时，应保持警惕，千万不要下载未经官方商店认证的应用。

5、注意个人手机安全，安装手机杀毒软件，从可靠安全的手机市场下载手机应用程序。

6、做好个人重要数据备份。个人的科研数据、工作文档、照片等，根据其重要程度，定期备份到移动存储介质、知名网盘或其他计算机中。